OSSEC – Intro

Published by Lello on

OSSEC (Open Source HIDS SECurity) è un sistema host-based intrusion detection system (HIDS); quello che è importante sottolineare che OSSEC è open source, rilasciato con licenza GNU General Public License (version 3).

Il compito di OSSEC è da una parte monitorare sistemi tramite analisi dei log, checking strutturale, monitoring del registry di Windows, rootkit detection; dall’altra parte effettuare alerting al verificarsi di un certo evento ed eventualmente attuare risposte pro-attive.

OSSEC fornisce funzioni di intrusion detection per sistemi operativi eterogeni; quelli supportati sono praticamente tutti:

  • GNU/Linux (tutte le distribuzioni Linux, comprese RHEL, Ubuntu, Slackware, Debian, etc);
  • Windows 7, 8, 10 e Windows Server 2008r2, 2012, 2016 e 2019;
  • FreeBSD (tutte le versioni);
  • OpenBSD (tutte le versioni);
  • NetBSD (tutte le versioni);
  • Solaris 10;
  • AIX 5.2 and 5.3;
  • Mac OS X 10.x;
  • HP-UX 11.

Si compone di:

  • Manager (or server), richiesto per installazioni stand-alone o distribuite;
  • Agent, un piccolo programma installato sul sistema da monitorare che permette di inviare i log verso il server (in maniera crittografata);
  • Agentless mode, utilizzato quando non è possibile installare agent (monitoring di firewalls, routers, e sistemi Unix).

Grazie al suo sistema di analisi dei log, permette di effettuare analisi di dati provenienti da diverse piattaforme e formati (analisi dei log di sistema, piuttosto che analisi del web server o di router o firewall).

I formati di log supportati sono:

  • syslog;
  • snort-full, snort-fast;
  • apache;
  • iis;
  • squid;
  • nampg;
  • mysql_log, postgresql_log;
  • eventlog;
  • djb_multilog

Inoltre:

  • Tramite syslog remoto permette di analizzare:
    • Cisco PIX, ASA and FWSM;
    • Cisco IOS routers;
    • Juniper Netscreen;
    • SonicWall firewall;
    • Checkpoint firewall;
    • Cisco IOS IDS/IPS module;
    • Sourcefire (Snort) IDS/IPS;
    • Checkpoint Smart Defense;
    • Bluecoat proxy;
    • Cisco VPN concentrators.
  • Senza sistema di agent, permette di effettuare log analysis e file integrity checking sui seguenti sistemi:
    • Cisco PIX, ASA and FWSM;
    • Cisco IOS routers;
    • Juniper Netscreen;
    • SonicWall firewall;
    • Checkpoint firewall;
    • All operating systems specified in the “operating systems” section

OSSEC infine è compatibile con i requisiti Payment Card Industry Data Security Standard (PCI DSS).

Nel post successivo, vedremo come  installare OSSEC su un sistema “CentOS 8 Linux” based; partiremo dal presupposto di aver installato il sistema in modalità minimal senza interfaccia grafica, di aver applicato tutte le patch necessarie, di aver disabilitato selinux e il firewall (da valutare nell’ambiente in cui il sistema viene posto).

La versione attuale di OSSEC è la versione 3.6.

OSSEC – Installazione Server →